※本記事は2017年2月16日に米国で掲載されたブログ記事の抄訳を基にしています。

パロアルトネットワークスの脅威インテリジェンスチーム「Unit 42」は、2016年の9月から11月にかけて、「menuPass」として知られる攻撃グループによるAPT攻撃(持続型の標的型攻撃)が、日本の学術研究者および製薬企業、米国に子会社を置く製造業を対象にしていたことを確認しました。この攻撃では、トランプ氏の選挙での勝利に便乗した件名などを使用した、スピアフィッシング攻撃が用いられています。

この攻撃者グループが、PlugXおよびPoison Ivy (PIVY)といったマルウェアを使用していることは知られていますが、これら2つに加え、JPCERTコーディネーションセンター(JPCERT/CC)が「ChChes」と呼んでいる新型トロイの木馬も使用していたことを確認しました。複数の攻撃活動で使用されているPlugXおよびPIVYとは対照的に、ChChesはこの攻撃グループが独自に使用しているマルウェアだと考えられます。

興味深いことに、Unit 42が確認したChChesのサンプルは、元々イタリア企業HackingTeamによる証明書、およびHackingTeamがハッキングを受けたときに漏えいしたデータの後半部を使用してデジタル署名されていました。セキュリティ企業のWapack labsも、日本を標的とする類似サンプルを11月に確認しています。攻撃者がこの証明書を使用した理由は不明です。この証明書は古く、ネット上に漏えいしたものであり、すでに失効済みです。一般的に、デジタル証明書は正当性の印象を与える理由から攻撃において使用されますが、このデジタル証明書は決してそうではありません。

menuPassは、笹川平和財団およびホワイトハウスに関連のある公式アドレスなどに送信者メールアドレスを偽装し、スピアフィッシングメールを送信しました。このスピアフィッシングは、標的および見せかけの送信者にふさわしい件名を使い、情報の入手を目的としていました。ホワイトハウス関連アドレスを装った攻撃では、「“[UNCLASSIFIED] The impact of Trump’s victory to Japan”([非機密扱い] トランプ氏勝利の日本への衝撃)」という件名が使われており、米大統領選の2日後に送信されました。これまでの学術研究者に対する攻撃の大多数は、関係する学術研究者の名前によるメールアドレスを用いていましたが、今回の一連の攻撃はこうした学術研究者とは表立った結び付きはありません。一方、スピアフィッシングの受信者は、学術関係者と関連するメールアドレスの持ち主でした。

図1.最近のmenuPassの活動と古いインフラストラクチャとのいくつかの関係

これらの攻撃におけるC2インフラストラクチャは、大半が攻撃者によって登録されたもので、ごく少数のみがDynamic Domain Name System (ダイナミックドメインネームシステム - DDNS)のドメインを使っていました。一般的に、攻撃活動においてmenuPassはDDNSと攻撃者が登録したドメインを折り混ぜて使用しています。関連するハッシュおよびC2は、このブログ記事の参考情報に記載しました。

menuPassとChChesとの関係性

menuPass (別名はStone PandaおよびAPT10)と呼ばれるAPT攻撃(持続型の標的型攻撃)に関する公の情報はそれほどありません。2013年にFireEyeが公表したレポートに、PIVYを使った攻撃活動のひとつとしてmenuPassをそうした攻撃活動のひとつとして挙げていました。その後のブログ記事にも、新たな詳細情報がいくつか加えられました。menuPassというグループ名は、攻撃におけるPIVY用に使ったパスワードの1つに由来しています。menuPassは2009年に活動を開始し、中国で生まれたと考えられているため、当初米国や海外の防衛関連企業を標的にしていることで知られていましたが、時が経つにつれ標的を拡げていきました。そして遅くとも2014年から、日本の組織を標的にしています。

新しいChChesマルウェアファミリはインポートハッシュ(bb269704ba8647da97377440d403ae4d)を使っており、このハッシュを、menuPassが利用する他のツールと共有しています。そして、インポートハッシュは最初のリンクを提供します。一方、インフラストラクチャ分析を通して、menuPassとの関係が最も強く立証されました。インフラストラクチャ分析から、これらの攻撃で使用された新しい方のインフラストラクチャと、このグループとの関連が公になっている従来のインフラストラクチャとの間に、多数のリンクがあることが明らかになりました。図2にて丸で囲んだ3つのドメインは、menuPassとの関連性があると公式に報告されているC2であり、公式に関係性が指摘されていないドメインとリンク付けされています。これらは、Unit 42のアナリストがmenuPassのインフラストラクチャをリサーチしている中で発見することができた、ごくわずかな複数の共通部分です。丸で囲んだ既知のドメインは以下のうちの最初の3つです。

  • apple[.]cmdnetview[.]com
  • fbi[.]sexxxy[.]biz
  • cvnx[.]zyns[.]com
  • cia[.]toh[.]info
  • 2014[.]zzux[.]com
  • iphone[.]vizvaz[.]com

図2. menuPassインフラストラクチャの共通部分

さらに、これらのドメインのうち2つは、新しい方のC2インフラストラクチャと関連付けることができました。やはりこれらも、menuPassが使っているインフラストラクチャを分析することで明らかにすることができた、ごくわずかな共通部分です。下の図のドメインは以下のとおりです。

  • cia[.]toh[.]info
  • 2014[.]zzux[.]com
  • wchildress[.]com
  • lion[.]wchildress[.]com
  • kawasaki[.]unham[.]com
  • sakai[.]unhamj[.]com
  • kawasaki[.]cloud-maste[.]com
  • fukuoka[.]cloud-maste[.]com
  • yahoo[.]incloud-go[.]com
  • msn[.]incloud-go[.]com
  • www[.]mseupdate[.]ourhobby[.]com
  • contractus[.]qpoe[.]com

図3.新旧のインフラストラクチャ間の関係

このほか、PIVYサンプルのパスワードも、グループが使っている既知のパスワードに当てはまります。すなわち、3個のサンプルは“menuPass”を使い、それ以外のサンプルは“keaidestone”を使っています。こうしたデータをもとに、Unit 42は、最近の攻撃がmenuPassグループによって行われたと強く確信しています。

マルウェア分析

ChChesマルウェア ファミリの分析結果は以下のとおりです。この分析用に、Unit 42は以下のファイルを調査しました。

MD5

c0c8dcc9dad39da8278bf8956e30a3fc

SHA1

009b639441ad5c1260f55afde2d5d21fc5b4f96c

SHA256

6605b27e95f5c3c8012e4a75d1861786fb749b9a712a5f4871adbad81addb59e

コンパイル時刻

2016-11-24 01:31:37 UTC

 

このマルウェアは、図4の画像のようなMicrosoft Wordのように見えるアイコンによって配布されています。

図4.ChChes用に使われているアイコン

 

日本の組織への攻撃で特定されたサンプルは、イタリア企業HackingTeamが元々使っていた証明書を使ってデジタル署名されていたことが分かりました。読者の中には、HackingTeamが2015年7月にセキュリティ侵害を受け、その後、大量の内部データが漏洩したことを思い出す方もいるでしょう。漏洩したデータには、この企業が使用していた大量のコードが含まれており、その中に証明書もありました。今回使われた証明書は極めて古く、2012年8月4日に有効期限が切れていました。2015年7月10日には失効しています。

図5.ChChesのデジタル署名

図6.証明書の失効

HackingTeamの証明書が2015年に漏えいして以来、複数のマルウェアでこの証明書が使われていることが明らかになっています。menuPassが、既知の悪意あるサンプルと関係のあるこの証明書を自分たちのサンプル用に使用した理由はわかりません。1つの可能性として、「これらの脅威をリサーチしているアナリストから見て攻撃者の特定がさらに困難になるのを狙った」ということが考えられます。

マルウェアは最初に実行されたときに、中に埋め込まれたコードのスタブを復号化してから、それを実行します。このスタブは、シェルコードに多数の特徴が見られ、新しいインポート アドレス テーブル(IAT)を作成することから開始します。この新しいIATは、コードの残り部分を通じて、Windows APIを呼び出したときに参照されます。以下のアセンブリのスニペットは、GetProcessHeap、RtlAllocateHeap、RtlReAllocateHeap、InternetReadFileなどのさまざまな関数を呼び出すために参照されている新たに作成されたIATを示しています。

図7Windows API関数を呼び出すために使用される新たに作成されたIAT

IATを生成した後、マルウェアは%TEMP%のパスを判別し、現在の作業ディレクトリをこの値に設定します。ChChesは、被害者に関する以下の情報の収集に進みます。

  • ホスト名
  • プロセスID (PID)
  • 現在の作業ディレクトリ(%TEMP%)
  • ウィンドウの解像度
  • Microsoft Windowsのバージョン

この情報は以下のような文字列に集約されます。

WBQTLJRH9553618*2564?3618468394?C:\\Users\\ADMINI~1\\AppData\\Local\\Temp?1.4.1 (1024×768)*6.1.7601.17514

上記の文字列で、文字列‘3618468394’および‘1.4.1’はマルウェア自体にハードコード化されている点に注意してください。これらは、マルウェアのバージョンまたは攻撃活動のIDを示している可能性がありますが、確認されていません。

このデータは集約された後、HTTPを介してハードコード化されたC2サーバーにアップロードされます。データは、以下に示すように、‘Cookie’ HTTPヘッダーに埋め込まれます。

図8ChChesの初期HTTPビーコン

上記で使用されたURIは、ChChesによってHTTPリクエストが作成されるたびにランダムに生成されます。Cookieヘッダーに埋め込まれたデータは独自の手法を使って暗号化されます。キー/値ペアごとに‘;’で区切られ、マルウェアは最初にキーのMD5ハッシュを実行し、中間の16バイトを抽出します。値は、文字列の引用符を外した後に、base64でデコードされます。最後に、base64でデコードされたデータは、以前に取得した16バイトとともにRC4を使用して、復号化されます。データはすべて結合され、最終的な復号化されたデータを形成します。

以下のPythonコードは、提供されたCookieフィールドをデコードする例を示しています。

上記スクリプトは、以下の出力を生成します。

上記の出力に見られる最初の‘A’文字は、これが初期ビーコンであること、または最初に予期されたChChesによって送信されるリクエストであることをリモート サーバーに知らせています。

C2は、ホスト名とPIDに対して実行されたMD5ハッシュの中間16バイトを含む‘Set-Cookie’ヘッダーで応答します。上記の例を使用すると、C2は‘WBQTLJRH9553618*2564’に対してMD5を実行しています。

結果の中間の16文字は、‘b331106210b6364c’です。

ChChesによって作成されたそれ以降のリクエストは、以下のようになります。

図9ChChesによって作成された2番目のネットワーク リクエスト

復号化すると、Cookieフィールドに保存された以下のコンテンツが確認されます。

Bb331106210b6364c

最初の文字‘B’は、これが2番目のリクエストであることを示しており、残りのデータはC2レスポンスで以前に目にしたSet-Cookieヘッダー内の16バイトです。

この段階では、C2サーバーは、以下の形式でコンテンツを返すものと予期されます。

[Middle MD5][Base64-Encoded Data][Middle MD5]

‘Middle MD5’フィールドには、‘b331106210b6364c’文字列に対するMD5ハッシュの中間の16バイトが含まれます。この特定の例では、結果として文字列‘500089dadf52ae0b’になります。‘Base64-Encoded Data’フィールドには、かなり複雑な構造が含まれ、それにはChChesによってロードされ、その後実行されるモジュールが保存されます。

このネットワーク通信を視覚化すると、以下の図に示すようになります。

図10ChChesのネットワーク フロー

ChChesは、被害者のマシンの初期潜入ポイントとして動作します。追加のコードをロードし、その後、多数のタスクを遂行する機能を備えています。分析時には、アクティブなC2サーバーは見つかりませんでした。Unit 42は、ChChesによってロードされるモジュールを特定できませんでしたが、JPCERTが最近このファミリを分析し、ChChesに機能を提供しているモジュールを収集しました。

  • AESによる通信の暗号化
  • シェル コマンドの実行
  • ファイルのアップロードとダウンロード
  • DLLのロードと実行
  • ボット コマンドのタスク リスト

現状では、ChChesに持続性のある機能が組み込まれていない点は、被害者のマシンで長期間実行する意図がないことを示唆しています。侵入を成功させ、ネットワーク内の足場として正しい方向に向かうために、攻撃者が使用する第1段階のツールに過ぎないのかもしれません。攻撃者がネットワーク内を移動するにつれ、他のマルウェアが持続性と追加のアクセスの機能を持った第2段階のレイヤーとして導入されるのでしょう。

結論

これらの攻撃は、依然として日本がAPT攻撃活動にとって関心の高い標的であることを示しています。menuPassは遅くとも2014年以降から日本の個人と組織を標的とし、同じ組織と教育機関を主な標的とし毎月攻撃を行ってきました。さらに、menuPassがこれらの標的を侵害する試みに終始していることも明らかになっています。またmenuPassは主に情報入手のためにスピアフィッシング攻撃を仕掛けています。これらの事実と、攻撃の持続性から、標的となりうる個人と組織の両方がスピアフィッシングについてトレーニングを受け、認識を深める必要があります。menuPassは、広範に継続されているAPT攻撃活動で、今後も引き続き日本を標的としてくる可能性があります。

Palo Alto Networksのお客様は、これらのマルウェア ファミリとC2インフラストラクチャから以下によって保護されています。

  • すべてのC2ドメインは、Threat Prevention(脅威防御)機能とPAN-DBで悪意あるものとしてフラグ付けされています。
  • すべてのこれらのファミリは、脅威インテリジェントクラウド「WildFire」によって適切にタグ付けされたマルウェアです。脅威インテリジェントサービス「Autofocus」の利用者は、該当するタグを介して各ファミリの詳細を確認できます。

さらに、Autofocusの利用者は、menuPassタグで紐付けられた活動を調べることで、詳細を確認できます。

セキュリティ侵害の痕跡

SHA256ハッシュ

ChChes

5961861d2b9f50d05055814e6bfd1c6291b30719f8a4d02d4cf80c2e87753fa1

e90064884190b14a6621c18d1f9719a37b9e5f98506e28ff0636438e3282098b

ae6b45a92384f6e43672e617c53a44225e2944d66c1ffb074694526386074145

fd6a956a7708708cddff78c8505c7db73d7c4e961da8a3c00cc5a51171a92b7b

2c71eb5c781daa43047fa6e3d85d51a061aa1dfa41feb338e0d4139a6dfd6910

316e89d866d5c710530c2103f183d86c31e9a90d55e2ebc2dda94f112f3bdb6d

efa0b414a831cbf724d1c67808b7483dec22a981ae670947793d114048f88057

6605b27e95f5c3c8012e4a75d1861786fb749b9a712a5f4871adbad81addb59e

fadf362a52dcf884f0d41ce3df9eaa9bb30227afda50c0e0657c096baff501f0

2965c1b6ab9d1601752cb4aa26d64a444b0a535b1a190a70d5ce935be3f91699

e88f5bf4be37e0dc90ba1a06a2d47faaeea9047fec07c17c2a76f9f7ab98acf0

d26dae0d8e5c23ec35e8b9cf126cded45b8096fc07560ad1c06585357921eeed

e6ecb146f469d243945ad8a5451ba1129c5b190f7d50c64580dbad4b8246f88e

4521a74337a8b454f9b80c7d9e57b4c9580567f84e513d9a3ce763275c55e691

bc2f07066c624663b0a6f71cb965009d4d9b480213de51809cdc454ca55f1a91

c21eaadf9ffc62ca4673e27e06c16447f103c0cf7acd8db6ac5c8bd17805e39d

f251485a62e104dfd8629dc4d2dfd572ebd0ab554602d682a28682876a47e773

b20ce00a6864225f05de6407fac80ddb83cd0aec00ada438c1e354cdd0d7d5df

c6b8ed157eed54958da73716f8db253ba5124a0e4b649f08de060c4aa6531afc

9a6692690c03ec33c758cb5648be1ed886ff039e6b72f1c43b23fbd9c342ce8c

cb0c8681a407a76f8c0fd2512197aafad8120aa62e5c871c29d1fd2a102bc628

4cc0adf4baa1e3932d74282affb1a137b30820934ad4f80daceec712ba2bbe14

312dc69dd6ea16842d6e58cd7fd98ba4d28eefeb4fd4c4d198fac4eee76f93c3

45d804f35266b26bf63e3d616715fc593931e33aa07feba5ad6875609692efa2

19aa5019f3c00211182b2a80dd9675721dac7cfb31d174436d3b8ec9f97d898b

 

PlugX

f1ca9998ca9078c27a6dab286dfe25fcdfb1ad734cc2af390bdcb97da1214563

6392e0701a77ea25354b1f40f5b867a35c0142abde785a66b83c9c8d2c14c0c3

6c7e85e426999579dd6a540fcd827b644a79cda0ad50211d585a0be513571586

9f01dd2b19a1032e848619428dd46bfeb6772be2e78b33723d2fa076f1320c57

6c7e85e426999579dd6a540fcd827b644a79cda0ad50211d585a0be513571586

76721d08b83aae945aa00fe69319f896b92c456def4df5b203357cf443074c03

dcff19fc193f1ba63c5dc6f91f00070e6912dcec3868e889fed37102698b554b

7eeaa97d346bc3f8090e5b742f42e8900127703420295279ac7e04d06ebe0a04

a6b6c66735e5e26002202b9d263bf8c97e278f6969c141853857000c8d242d24

5412cddde0a2f2d78ec9de0f9a02ac2b22882543c9f15724ebe14b3a0bf8cbda

92dbbe0eff3fe0082c3485b99e6a949d9c3747afa493a0a1e336829a7c1faafb

 

PIVY

f0002b912135bcee83f901715002514fdc89b5b8ed7585e07e482331e4a56c06

412120355d9ac8c37b5623eea86d82925ca837c4f8be4aa24475415838ecb356

44a7bea8a08f4c2feb74c6a00ff1114ba251f3dc6922ea5ffab9e749c98cbdce

9edf191c6ca1e4eddc40c33e2a2edf104ce8dfff37b2a8b57b8224312ff008fe

 

C2s

dick[.]ccfchrist[.]com

trout[.]belowto[.]com

sakai[.]unhamj[.]com

zebra[.]wthelpdesk[.]com

area[.]wthelpdesk[.]com

kawasaki[.]cloud-maste[.]com

kawasaki[.]unhamj[.]com

fukuoka[.]cloud-maste[.]com

scorpion[.]poulsenv[.]com

lion[.]wchildress[.]com

fbi[.]sexxxy[.]biz

cia[.]toh[.]info

2014[.]zzux[.]com

nttdata[.]otzo[.]com

iphone[.]vizvaz[.]com

app[.]lehigtapp[.]com

jimin[.]jimindaddy[.]com

Jepsen[.]r3u8[.]com

inspgon[.]re26[.]com

nunluck[.]re26[.]com

yahoo[.]incloud-go[.]com

msn[.]incloud-go[.]com

www[.]mseupdate[.]ourhobby[.]com

contractus[.]qpoe[.]com

apple[.]cmdnetview[.]com

cvnx[.]zyns[.]com


 関連コンテンツ

Palo Alto Networks WanaCrypt0r ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年5月12日金曜日、WanaCrypt0rの最新亜種による一連の攻撃が広範囲に対して始まりました。これらの攻撃は世界中の公的・民間組織に影響を与えたと報告されています。Palo Alto Networks の次世代セキュリティプラットフォームはこの攻撃に対するプロテクションを自動で作成、配布、適用を行いました。 どうやって攻撃されるのか: WwanaCrypt0rはリンクもしくはPDFドキュメントを添付したフィッシングメールによる攻撃が始まります。フィッシング攻撃の成功により WanaCrypt0r ランサムウェアはターゲットシステムに感染し、次にSMBプロトコル経由でMicrosoft Windows システムにある EternalBlue 脆弱性 (CVE-2017-0144)を悪用して広範囲に感染を広めようとして攻撃します。この脆弱性は Microsoft により MS17-010として2017年3月に対応されています。この脆弱性は Shadow Brokers グループによって 2017年4月に一般公開されていました。MS17-010 のパッチを適用している組織は WanaCrypt0r の感染がネットワークを介して広まるリスクはありません。MS17-010は現在アクティブな攻撃で使用されているネットワークコンポーネントにあるリモートコード実行可能な脆弱性を修正しているため、私たちはこのセキュリティアップデートの適用を早急に行うことを強くおすすめします。 阻止: Palo Alto Networks のお客様は、攻撃ライフサイクルのいずれにおいても脅威を自動的に止めることができる脅威阻止アプローチを適用している我々の次世代セキュリティプラットフォーム経由で守られています。Palo Alto Networks のお客様は次世代セキュリティプラットフォームに対して提供している複数の脅威阻止コントロールを通じて自動的にWanaCrypt0rランサムウェアから守られています。 WildFire はすべての既知サンプルをマルウェアとして分類し、悪意のあるコンテンツがユーザに配布されることを自動的にブロックしています。 Threat Preventionはこの攻撃に使用されている脆弱性の悪用(CVE-2017-0144 - MS17-010)に対応する IPS シグネチャを適用しています。 Traps はエンドポイントで WanaCrypt0r マルウェアの実行を阻止します。 AutoFocus はWanaCrypt0rタグを通じて脅威分析と脅威ハンティングできるようこの攻撃を追跡します。 GlobalProtect を通じて次世代ファイアウォールポリシーをモバイルユーザに拡大することでリモートワーカーを守ることができます。 Palo Alto Networks 次世代セキュリティプラットフォームを使ってランサムウェアを阻止するベストプラクティスについてはこちらのナレッジベースを参照ください。

  • 0
  • 2455

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 0
  • 1529

製品概要スペックシート

  • 0
  • 1409

脅威の概要: WanaCrypt0r について判明していること

本 Unit 42 ブログ記事では、WanaCrypt0r ランサムウェアによる攻撃とその拡散方法についての本脅威の現況について、更新情報を提供します。

Rick Howard, Palo Alto Networks,
  • 0
  • 1132

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 0
  • 888

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 0
  • 663